Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile Ulusal Güvenlik Ajansı (NSA), Microsoft Exchange sunucularının saldırılara karşı korunması için yeni bir güvenlik rehberi yayımladı. Rehber, kurumların sistemlerini siber tehditlere karşı daha dayanıklı hâle getirmesine yardımcı olacak öneriler içeriyor.
Eski Exchange Sürümlerinin Kapatılması Güvenlik Risklerini Azaltıyor
Yayınlanan rehberde kullanıcı kimlik doğrulamasının güçlendirilmesi, erişim izinlerinin sınırlandırılması, saldırı yüzeyinin azaltılması ve ağ şifrelemesinin sağlamlaştırılması öne çıktı. Kurumlara ayrıca yaşam döngüsünü tamamlamış Exchange sunucularını devre dışı bırakma çağrısı yapıldı. Çünkü güncel olmayan bir sunucunun ağda kalması, sistemlerin saldırganlara karşı savunmasız hâle gelmesine yol açabiliyor.
Microsoft Exchange #cybersecurity threats continue to persist. In collaboration with @NSAGov & global partners, we’ve released security best practices for admins of on-premises Exchange servers. See our guide to reduce your risk. pic.twitter.com/F53alloVwm
— CISA Cyber (@CISACyber) October 30, 2025
CISA ve NSA, bulut sistemlerine geçiş yapan kurumların yerel veya hibrit yapıda kalan eski Exchange sürümlerini kullanmaya devam etmemesi gerektiğini vurguladı. Güncellenmeyen sunucuların saldırılara açık hâle gelmesi, kurum ağlarının bütünlüğünü tehlikeye sokuyor.
Kuruluşların Microsoft 365’e geçiş sürecinde yerel Exchange altyapılarını koruması için güvenlik yapılandırmalarını gözden geçirmesi gerekiyor. Ayrıca sistem kayıtlarının düzenli izlenmesi, şüpheli etkinliklerin erken tespiti açısından önem taşıyor. Ajanslar tarafından paylaşılan rehberde çok faktörlü kimlik doğrulamanın etkinleştirilmesi, yalnızca yetkili cihazlardan yönetici erişimine izin verilmesi ve güvenli iletişim protokollerinin tercih edilmesi tavsiye edildi.
CISA ve NSA, Exchange ve Windows sistemlerinde güvenlik temellerinin uygulanması gerektiğini belirtti. Modern Authentication, OAuth 2.0, Kerberos ve SMB gibi kimlik doğrulama yöntemlerinin tercih edilmesi önerildi. NTLM kullanımının azaltılması, güvenlik açıklarının önlenmesine katkı sağlıyor. Ayrıca TLS yapılandırmasının güçlendirilmesi, Extended Protection özelliğinin devreye alınması, HTTP Strict Transport Security’nin (HSTS) aktif edilmesi ve rol tabanlı erişim kontrolünün uygulanması da rehberde yer aldı.
Kurumlara İzleme ve Müdahale Planı Hazırlama Çağrısı Yapıldı
Ajanslar, güvenlik ihlallerine hızlı yanıt verebilmek için olay müdahale planlarının hazırlanması gerektiğini belirtti. Şüpheli faaliyetlerin izlenmesi, e-posta başlık manipülasyonu girişimlerinin tespiti ve sahte gönderici denemelerinin engellenmesi önerildi CISA, yöneticilere Exchange Management Shell oturumlarında sertifika tabanlı imzalama kullanmalarını, anti spam ve anti malware hizmetlerini sürekli etkin tutmalarını hatırlattı.
CISA, ağustos ayında yayımladığı acil direktif (ED 25-02) kapsamında Federal Sivil Yürütme Şubesi (FCEB) kurumlarına dört gün içinde yüksek önem dereceli bir Exchange açığını kapatma talimatı vermişti. CVE-2025-53786 kodlu açık, saldırganlara yöneticilik yetkisi kazandırarak bulut ortamlarına sızma imkânı tanıyordu.
Yama sürecinden kısa süre sonra Shadowserver adlı kuruluş, internete açık 29 binden fazla Exchange sunucusunun hâlâ savunmasız durumda olduğunu tespit etti. Geçmişte ProxyShell ve ProxyLogon açıkları da benzer şekilde devlet destekli saldırı grupları tarafından kullanılmıştı.
Almanya Federal Bilgi Güvenliği Dairesi’ne bağlı CERT-Bund, ülkede çevrimiçi erişime açık yaklaşık 33 bin Exchange sunucusunun %92’sinin güncel olmayan sürümlerle çalıştığını açıkladı. Uzmanlara göre bu durum, kurumların siber tehditlere karşı daha savunmasız kalmasına neden oluyor.
CISA, NSA, Avustralya Siber Güvenlik Merkezi (ACSC) ve Kanada Siber Güvenlik Merkezi (Cyber Centre), kurumlara düzenli güncelleme yapmaları ve güvenlik yapılandırmalarını sürekli gözden geçirmeleri çağrısında bulundu.
